La presentación inaugural del CES, a cargo este año de Brian Krzanich, CEO de Intel, na sido un show audiovisual impactante incluso para los estándares de Las Vegas; sólo faltó que apareciera un holograma de Frank Sinatra. El discurso de Krzanich duró dos horas, que dedicó a cuestiones más o menos futuristas: coches autónomos, drones, realidad virtual, computación cuántica y neuromórfica, exploración de la cuarta dimensión, … pero liquidó en dos minutos el asunto candente, Meltdown y Spectre. Confirmó que en los próximos días habrá actualizaciones para el 90% de los procesadores de los últimos cinco años. Dicho lo cual, cambió educadamente de tema: «hoy estamos aquí para hablar de innovación».
Pero Intel no podrá cambiar de tema. Como mucho, tratará de recuperar el control del ´relato`. Para ello, ha creado una nueva unidad interna de Product Assurance and Security, que dirigirá el jefe de recursos humanos (sic) Leslie Culbertson .
El fundamento de la postura de Intel está en un documento de 12 páginas que puede resumirse así: 1)Intel y tras ella el resto de la industria mantendrá la técnica de ´ejecución especulativa` porque, de lo contrario, los procesos se ralentizarían gravemente, y 2) a la vez, pondrá obstáculos adicionales para evitar accesos ilegítimos a la memoria fugazmente desprotegida. Estos son los medios que pondrá en acción Intel, pero los usuarios tendrán que estar atentos, viene a decir el documento.
Se evita por completo evocar el fantasma de 2009, año en que el hallazgo de un error de división de coma flotante (FDIV) en sus procesadores Pentium, costó a Intel millones de dólares al verse obligada a sustituir miles de chips ya implementados. Aquel problema de reputación condujo a un cambio de microarquitectura en 2011 [de ahí que Meltdown y Spectre sólo puedan afectar a los chips posteriores a 2011]. Krzanich insistió el martes en que no hay noticia de un solo caso en el que Meltdown o Spectre hayan facilitado accesos indebidos.
Para que las cosas vuelvan a una (relativa) normalidad, Intel necesita el concurso de dos aliados principales en la cadena de valor: Google y Microsoft. Estos pueden corroborar mejor que nadie si los resultados de laboratorio se reproducen en el mundo real. Hasta el momento, la realidad no confirma que los parches aplicados de urgencia hayan tenido como efecto una desaceleración significativa de los procesos.
En primer lugar, Google tiene la autoridad de haber propiciado el descubrimiento de ambas vulnerabilidades, a la vez que ser el responsable de probar inicialmente las soluciones propuestas. No hay que olvidad que es uno de los mayores proveedores de servicios cloud [o el mayor, si se suman los usuarios individuales de Gmail, YouTube, etc]. En este papel, su principal preocupación ha sido encontrar soluciones eficaces lo más pronto posible, una buena razón para cooperar estrechamente con Intel. Ha sido Google la mejor fuente para sostener la tesis de que el impacto en aplicaciones reales ha sido muy inferior a lo observado en laboratorio.
En la segunda mitad de 2017, Google desarrolló su propio parche, al que llamó Retpoline, desplegándolo en su flota de servidores Linux, observando «un descenso despreciable en el rendimiento de los sistemas». Además, fue la primera en desplegar una técnica de aislamiento del kernel para proteger la memoria de accesos a información sensible desde otro software implantado en la misma máquina.
El caso de Microsoft es, si cabe, más complejo. Inició sus primeras pruebas en noviembre, pero todavía no ha publicado métricas de rendimiento. Se puede entender, porque tendría que referirse a distintas generaciones de Windows y a configuraciones de hardware muy diversas, por no hablar de Windows Server y del creciente papel de Linux en su nube Azure.
Terry Myerson, máximo responsable del grupo Windows and Devices, ha escrito en su blog que «en máquinas bajo Windows 10 el efecto de la mitigación es mínimo con procesadores recientes, mientras que para Windows 7 y 8 esperamos une menor performance«. Más problemas parece ofrecer Windows Server, en vista de que Myerson recomienda «evaluar el riesgo en cada instancia, para buscar el debido equilibrio entre seguridad y rendimiento».
El berenjenal se agrava cuando, para mitigar la eventual acción de Spectre en procesadores de AMD se aplica un parche de Windows: después de recibir muchas quejas, Microsoft decidió retirar de circulación ese parche. Un aspecto inquietante es la necesidad de desactivar los antivirus antes de aplicar un parche: aquellos requieren un bajo nivel de acceso a la memoria y, por consiguiente, han de ser compatibles con la actualización ofrecida por Microsoft.
Los colegas The Register – que en este episodio han adquirido un protagonismo merecido, a diferencia del amarillismo de cierta prensa online, o de la obsecuencia habitual de otra – recopila mensajes en Twitter de clientes de Azure que han tenido problemas para reiniciar sus máquinas virtuales tras aplicar la actualización provista por Microsoft. La propia compañía ha reconocido la existencia de estos problemas «especialmente en Europa Occidental».
Un caso peculiar es Apple. Con una transparencia poco usual en esta compañía, ha advertido que tanto sus ordenadores Mac (que llevan procesadores de Intel) como los iPhones e iPads – con chips de diseño propio bajo licencia de ARM – están expuestos a Spectre, una vulnerabilidad «extremadamente difícil de explotar». En relación con Meltdown, los dispositivos iOS cuentan con un parche incorporado el mes pasado en la última versión del sistema operativo.
La evolución de esta crisis generalizada es imprevisible. En principio, los consumidores y empresas en general no deberían verse afectadas; llegado el caso, los hackers tendrían que usar medios sofisticados para acceder a información cuyo valor no merecería la inversión: hay otros modos más sencillos de ganar dinero en la ciberdelincuencia. En las grandes empresas, sí podrían estar tentados de bucear en la memoria de los sistemas por si los parches dejaran algún intersticio. En este momento, la preocupación aparente no es esa, sino la plausible ralentización de los sistemas: aunque sólo fuera un 5% de media, las empresas equipadas con muchos sistemas afectados, sin duda la notarían.
[informes de Lluís Alonso y Mario Kotler]